KB4074629: Förstå SpeculationControl PowerShell-skriptutdata

Metod 1: PowerShell-verifiering med hjälp av PowerShell-galleriet (Windows Server 2016 eller WMF 5.0/5.1)

Installera PowerShell-modulen

PS> Install-Module SpeculationControl

Kör SpeculationControl PowerShell-modulen för att kontrollera att skydd är aktiverade

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Metod 2: PowerShell-verifiering med hjälp av en nedladdning från TechNet (tidigare OS-versioner/tidigare WMF-versioner)

Installera PowerShell-modulen från TechNet ScriptCenter

1. Gå till https://aka.ms/SpeculationControlPS.

2. Ladda ned SpeculationControl.zip till en lokal mapp.

3. Extrahera innehållet till en lokal mapp, till exempel C:\ADV180002

Kör PowerShell-modulen för att kontrollera att skydd är aktiverade

Starta PowerShell och kopiera sedan (med exemplet ovan) och kör följande kommandon:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Produktionen

Förklaring

Inställningar för spekulationskontroll för CVE-2017-5715 [branch target injection]

Det här avsnittet innehåller systemstatus för variant 2, CVE-2017-5715, branch target injection.

Maskinvarustöd för branch target injection mitigation finns

Kartor till BTIHardwarePresent. På den här raden får du veta om maskinvarufunktioner finns för att stödja branchens målinjektion. Enhets-OEM-tillverkaren ansvarar för att tillhandahålla den uppdaterade BIOS/inbyggda programvaran som innehåller mikrokoden som tillhandahålls av CPU-tillverkare. Om den här raden är True finns de nödvändiga maskinvarufunktionerna. Om raden är False finns inte de nödvändiga maskinvarufunktionerna. Därför kan grenens målinjektion inte aktiveras.

Obs! BTIHardwarePresent kommer att vara True i virtuella gästdatorer om OEM-uppdateringen tillämpas på värden och vägledningföljs.

Windows OS-stöd för branch target injection mitigation is present

Kartor till BTIWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för branch target injection.this line tells you whether Windows operating system support is present for the branch target injection mitigation. Om det är Sant har operativsystemet stöd för att aktivera branch target injection mitigation (och har därför installerat uppdateringen för januari 2018). Om det är Falskt installeras inte uppdateringen i januari 2018 på enheten och branch target injection-lösningen kan inte aktiveras.

Obs! Om en virtuell gästdator inte kan identifiera värdmaskinvaruuppdateringen är BTIWindowsSupportEnabled alltid False.

Windows OS-stöd för branch target injection mitigation is enabled

Kartor till BTIWindowsSupportEnabled. Den här raden anger om Support för Windows-operativsystemet är aktiverat för att åtgärda branchmålinjektionen. Om det är Sant är maskinvarusupport och OS-stöd för branch target injection aktiverat för enheten, vilket skyddar mot CVE-2017-5715. Om det är Falskt är något av följande villkor sant:

• Maskinvarusupport finns inte.

• OS-support finns inte.

• Begränsningen inaktiveras av systemprincipen.

Windows OS-stöd för branch target injection mitigation is disabled by system policy

Kartor till BTIDisabledBySystemPolicy. På den här raden får du reda på om grenens målinjektion är inaktiverad av systemprincipen (till exempel en administratörsdefinierad princip). Systemprincip refererar till registerkontrollerna som beskrivs i KB4072698. Om det är Sant är systempolicyn ansvarig för att inaktivera begränsningen. Om det är Falskt inaktiveras begränsningen av en annan orsak.

Windows OS-stöd för branch target injection är inaktiverat på grund av brist på maskinvarusupport

Kartor till BTIDisabledByNoHardwareSupport. På den här raden får du veta om grenens målinjektion är inaktiverad på grund av att maskinvarusupport saknas. Om det är Sant ansvarar avsaknaden av maskinvarusupport för att inaktivera begränsningen. Om det är Falskt inaktiveras begränsningen av en annan orsak.

ObserveraOm en virtuell gästdator inte kan identifiera värdmaskinvaruuppdateringen är BTIDisabledByNoHardwareSupport alltid True.

Inställningar för spekulationskontroll för CVE-2017-5754 [rogue datacachens inläsning]

Det här avsnittet innehåller sammanfattande systemstatus för variant 3, CVE-2017-5754, rogue data cache load. Begränsningen för detta kallas kernel virtual address (VA) skugga eller rogue data cache load mitigation.

Maskinvaran är sårbar för obehörig datacacheinläsning

Kartor till RdclHardwareProtected. Den här raden anger om maskinvaran är sårbar för CVE-2017-5754. Om det är Sant tros maskinvaran vara sårbar för CVE-2017-5754. Om det är Falskt är maskinvaran känd för att inte vara sårbar för CVE-2017-5754.

Windows OS-stöd för oseriösa datacacheladdningsreducering finns

Kartor till KVAShadowWindowsSupportPresent. Den här raden anger om Windows-operativsystemets stöd för kernel-VA-skuggfunktionen finns.

Windows OS-stöd för rogue data cache load mitigation is enabled

Kartor till KVAShadowWindowsSupportEnabled. Den här raden anger om VA-skuggfunktionen i kernel är aktiverad. Om det är Sant tros maskinvaran vara sårbar för CVE-2017-5754, Windows-operativsystemets support finns och funktionen är aktiverad.

Maskinvara kräver KERNEL-VA-skuggning

Kartor över KVAShadowRequired. Den här raden anger om systemet kräver VA-skuggning av kernel för att minimera en säkerhetsrisk.

Windows OS-stöd för kernel-VA-skugga finns

Kartor till KVAShadowWindowsSupportPresent. Den här raden anger om Windows-operativsystemets stöd för kernel-VA-skuggfunktionen finns. Om det är Sant installeras uppdateringen i januari 2018 på enheten och kernel-VA-skugga stöds. Om det är Falskt installeras inte januari 2018-uppdateringen och stöd för kernel-VA-skuggning finns inte.

Windows OS-stöd för kernel-VA-skugga är aktiverat

Kartor till KVAShadowWindowsSupportEnabled. Den här raden anger om VA-skuggfunktionen i kernel är aktiverad. Om det är Sant finns support för Windows-operativsystemet och funktionen är aktiverad. Kernel-VA-skuggfunktionen är aktiverad som standard i klientversioner av Windows och är inaktiverad som standard i versioner av Windows Server. Om det är Falskt finns det inte stöd för Windows-operativsystemet eller så är funktionen inte aktiverad.

Windows OS-stöd för pcID-prestandaoptimering är aktiverat

ObserveraPCID krävs inte för säkerhet. Det anger bara om en prestandaförbättring är aktiverad. PCID stöds inte med Windows Server 2008 R2

Kartor till KVAShadowPcidEnabled. Den här raden anger om ytterligare prestandaoptimering är aktiverad för kernel-VA-skuggning. Om det är Sant aktiveras kernel-VA-skugga, maskinvarustöd för PCID finns och PCID-optimering för kernel-VA-skugga aktiveras. Om det är Falskt kanske varken maskinvaran eller operativsystemet stöder PCID. Det är inte en säkerhetssvaghet för att PCID-optimeringen inte ska aktiveras.

Windows OS-stöd för Speculative Store Bypass Disable finns

Kartor till SSBDWindowsSupportPresent. Den här raden anger om Det finns stöd för Speculative Store Bypass Disable i Windows-operativsystemet. Om det är Sant installeras uppdateringen i januari 2018 på enheten och kernel-VA-skugga stöds. Om det är Falskt installeras inte januari 2018-uppdateringen och stöd för kernel-VA-skuggning finns inte.

Maskinvara kräver spekulativ store bypass disable

Kartor till SSBDHardwareVulnerablePresent. Den här raden anger om maskinvaran är sårbar för CVE-2018-3639. Om det är Sant tros maskinvaran vara sårbar för CVE-2018-3639. Om det är Falskt är maskinvaran känd för att inte vara sårbar för CVE-2018-3639.

Maskinvarustöd för Speculative Store Bypass Disable finns

Kartor till SSBDHardwarePresent. På den här raden får du veta om maskinvarufunktioner finns för att stödja Speculative Store Bypass Disable. Enhets-OEM-tillverkaren ansvarar för att tillhandahålla den uppdaterade BIOS/inbyggda programvaran som innehåller mikrokoden som tillhandahålls av Intel. Om den här raden är True finns de nödvändiga maskinvarufunktionerna. Om raden är False finns inte de nödvändiga maskinvarufunktionerna. Därför kan inte Spekulativ store Bypass Disable aktiveras.

Observera SSBDHardwarePresent kommer att vara True i virtuella gästdatorer om OEM-uppdateringen tillämpas på värden.

Windows OS-stöd för Speculative Store Bypass Disable är aktiverat

Kartor till SSBDWindowsSupportEnabledSystemWide. Den här raden anger om Speculative Store Bypass Disable är aktiverat i Windows-operativsystemet. Om det är Sant är maskinvarusupport och OS-stöd för Speculative Store Bypass Disable aktiverat för enheten som förhindrar att spekulativ Store Bypass uppstår, vilket eliminerar säkerhetsrisken helt. Om det är Falskt är något av följande villkor sant:

• Maskinvarusupport finns inte.

• OS-support finns inte.

• Speculative Store Bypass Disable är inte aktiverat via registernycklar. I följande artiklar finns instruktioner om hur du aktiverar dem:

  • KB4073119: Windows-klientvägledning för IT-proffs som skyddar mot silicon-baserade säkerhetsrisker med mikroarchitectural och spekulativ exekvering

  • KB4072698: Windows Server och Azure Stack HCI-vägledning för skydd mot silicon-baserade säkerhetsrisker med mikroarchitectural och spekulativ exekvering

Inställningar för spekulationskontroll för CVE-2018-3620 [L1 terminalfel]

Det här avsnittet innehåller sammanfattande systemstatus för L1TF (operativsystem) som cve-2018-3620 refererar till. Den här begränsningen säkerställer att säkra sidramsbitar används för att inte presentera eller ogiltiga sidtabellposter.

Obs! Det här avsnittet innehåller ingen sammanfattning av begränsningsstatusen för L1TF (VMM) som cve-2018-3646 refererar till.

Maskinvaran är sårbar för L1-terminalfel: Sant

Kartor till L1TFHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för L1 Terminal Fault (L1TF, CVE-2018-3620). Om det är Sant tros maskinvaran vara sårbar för CVE-2018-3620. Om det är Falskt är maskinvaran känd för att inte vara sårbar för CVE-2018-3620.

Windows OS-support för L1 terminalfelreducering finns: Sant

Kartor till L1TFWindowsSupportPresent. Den här raden anger om Windows-operativsystemet stöder L1 Terminal Fault (L1TF) operativsystemet. Om det är Sant installeras augusti 2018-uppdateringen på enheten och begränsningen för CVE-2018-3620 finns. Om det är Falskt installeras inte augusti 2018-uppdateringen och begränsningen för CVE-2018-3620 finns inte.

Windows OS-stöd för L1 terminalfelreducering är aktiverat: Sant

Kartor till L1TFWindowsSupportEnabled. Den här raden anger om Windows-operativsystemet för L1 Terminal Fault (L1TF, CVE-2018-3620) är aktiverat. Om det är Sant tros maskinvaran vara sårbar för CVE-2018-3620, Windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad.

Inställningar för spekulationskontroll för MDS [Microarchitectural Data Sampling]

Det här avsnittet innehåller systemstatus för MDS-uppsättningen med sårbarheter, CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 och ADV220002.

Windows OS-support för MDS-åtgärder finns

Kartor till MDSWindowsSupportPresent. Den här linjen anger om Windows-operativsystemets stöd för operativsystemet Microarchitectural Data Sampling (MDS) finns. Om det är Sant installeras maj 2019-uppdateringen på enheten och begränsningen för MDS finns. Om det är Falskt installeras inte maj 2019-uppdateringen och begränsningen för MDS finns inte.

Maskinvaran är sårbar för MDS

Kartor till MDSHardwareVulnerable. Den här linjen berättar om maskinvaran är sårbar för microarchitectural Data Sampling (MDS) uppsättning sårbarheter (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12139). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar.

Windows OS-stöd för MDS-begränsning är aktiverat

Kartor till MDSWindowsSupportEnabled. Den här linjen anger om Windows-operativsystemet för Microarchitectural Data Sampling (MDS) är aktiverat. Om det är Sant tros maskinvaran påverkas av MDS-sårbarheterna, Windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad.

Windows OS-stöd för SBDR-begränsning finns

Kartor till FBClearWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för SBDR-operativsystemet. Om det är Sant installeras uppdateringen för juni 2022 på enheten och begränsningen för SBDR finns. Om det är Falskt installeras inte uppdateringen för juni 2022 och begränsningen för SBDR finns inte.

Maskinvaran är sårbar för SBDR

Kartor till SBDRSSDPHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för SBDR [delad buffertdata läs] uppsättning sårbarheter (CVE-2022-21123). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar.

Windows OS-stöd för SBDR-begränsning är aktiverat

Kartor till FBClearWindowsSupportEnabled. Den här raden anger om Windows-operativsystemets begränsning för SBDR [läsning av delade buffertar] är aktiverad. Om det är Sant tros maskinvaran påverkas av SBDR-sårbarheterna, windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad.

Windows OS-stöd för FBSDP-begränsning finns

Kartor till FBClearWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för FBSDP-operativsystemet. Om det är Sant installeras uppdateringen för juni 2022 på enheten och begränsningen för FBSDP finns. Om det är Falskt installeras inte uppdateringen för juni 2022 och begränsningen för FBSDP finns inte.

Maskinvaran är sårbar för FBSDP

Kartor till FBSDPHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för FBSDP [fyllningsbuffert inaktuell dataspridning] uppsättning sårbarheter (CVE-2022-21125, CVE-2022-21127 och CVE-2022-21166). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar.

Windows OS-stöd för FBSDP-begränsning är aktiverat

Kartor till FBClearWindowsSupportEnabled. Den här raden anger om Windows-operativsystemets begränsning för FBSDP [inaktuell dataspridning i fyllningsbuffert] är aktiverad. Om det är Sant tros maskinvaran påverkas av FBSDP-sårbarheterna, Windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad.

Windows OS-support för PSDP-åtgärder finns

Kartor till FBClearWindowsSupportPresent. Den här raden anger om Det finns stöd för Windows-operativsystemet för psdp-operativsystemet. Om det är Sant installeras uppdateringen för juni 2022 på enheten och en lösning för PSDP finns. Om det är Falskt installeras inte uppdateringen för juni 2022 och begränsningen för PSDP finns inte.

Maskinvaran är sårbar för PSDP

Kartor till PSDPHardwareVulnerable. Den här raden anger om maskinvaran är sårbar för PSDP-säkerhetsrisker (primary stale data propagator). Om det är Sant tros maskinvaran påverkas av dessa sårbarheter. Om det är Falskt är maskinvaran känd för att inte vara sårbar.

Windows OS-stöd för PSDP-begränsning är aktiverat

Kartor till FBClearWindowsSupportEnabled. Den här raden anger om Windows-operativsystemets begränsning för PSDP [primär inaktuell dataspridning] är aktiverad. Om det är Sant tros maskinvaran påverkas av PSDP-säkerhetsriskerna, windows-operativsystemets stöd för begränsningen finns och begränsningen är aktiverad. Om det är Falskt är maskinvaran inte sårbar, Windows-operativsystemets support finns inte eller så är begränsningen inte aktiverad.

Registernyckel

Mappning

FeatureSettingsOverride – Bit 0

Kartor till – Branch target injection – BTIWindowsSupportEnabled

FeatureSettingsOverride – bit 1

Kartor till - Rogue datacache load - VAShadowWindowsSupportEnabled